ビルシステムの“セキュリティ”導入に立ちはだかる業界の壁と、その先に目指す理想像:ビルシステムにおけるサイバーセキュリティ対策座談会【後編】(1/4 ページ)
ICSCoE(Industrial Cyber Security Center of Excellence:産業サイバーセキュリティセンター)は、IPA(情報処理推進機構)傘下の組織として、社会インフラや産業基盤のサイバーリスクに対応する人材や組織、技術などの創出に取り組んでいる。今回、そのICSCoEの中核人材育成プログラムで、ビルシステムのセキュリティに関して学んだメンバーが、講師を交え、BUILT主催の座談会を開催した。2019年6月に経済産業省が公開したガイドラインをベースに、セキュリティ対策がなぜ必要なのか?導入障壁となっているものは何か?などを多面的に論じた座談会の模様を前後編の2回にわたってお届けする。
前回は、前編としてICSCoEの概要、メンバー自身の所属する会社での業務で感じるビルセキュリティの課題、ビルシステムへのサイバー攻撃の脅威、リスクポイントなどについて紹介した。
後編となる今回は、前回の流れを踏まえ、カリキュラムの前後でICSCoEの受講生がセキュリティに対する意識がどのように変化したか、中核人材育成プログラムの成果物となったガイドライン解説書の紹介、今後に向けたセキュリティの在り方など、より一歩踏み込んだ議論が展開された後半部分を紹介する。
ITシステムとの違いを痛感、ビルシステムの最優先は「安全」の確保
座談会後半は、カリキュラムに参加する前と後とで、「ビルのセキュリティに対する見方がどう変化したか」というテーマからスタートした。
前回の記事でも触れたが、今回の座談会には、不動産デベロッパー、ITベンダー、警備業、空調メーカー、設備設計など、多様な分野の人材が参加した。それぞれが携わる個々の業務では、セキュリティに関する優先順位や見方に関して、ある程度の意思統一がなされている。しかし、ビルシステムに関しては、エレベーターや空調など数多くの制御系機器が混在し、1つに統合されているため、個々の価値観だけでは対応することができない。従って、セキュリティについても、個々バラバラではなく、ビルに関わる者全てが統一した見解や要件を満たすことが前提とされる。
綜合警備保障(ALSOK) 開発企画部 情報セキュリティサービス推進室 主任の熊谷拓実氏は、「現状は攻撃者に有利なシステムで運用されている」ことに驚いたとの率直な感想を漏らした。ICSCoEのカリキュラムでは、模擬プラントを使ってサイバー攻撃を体験し、それに対する防御の組み立てを学ぶ。メンバーは、具体的な攻撃と防御手段を実体験することで、ビルシステムの脆(ぜい)弱性がリアルに感じられたようだ。
「多様な防御手法がある中で、一気に全ての対策を講じるのはコスト的にも非現実的。システムに優先度を付けた上で、最低限守る部分から対策を始めることが重要だ」(熊谷氏)。
NTTファシリティーズ ICTシステム部 ICT企画部門 企画担当の長田智彦氏も、ITシステムとビルの制御システムでは、さまざまな違いがあることを感じたと口にする。ITシステムでは情報漏えいが大きなリスクである場合が多く、それを回避することに重きが置かれるが、ビルシステムではシステム自体が停止したり誤作動をしたりしないことが第一義。ビルの場合は、システムの停止や誤作動が、健康や安全のリスクに直結するからだ。
また、ビルはITシステムと違って、機器がサーバルームなど1カ所に集約されていないという問題点もある。それぞれの設備制御システムがビルの各所に点在しているため、守るべき対象が非常に多い。
長田氏は「それらを守り切る技術は、これから成熟してくる段階」とし、現状では「この機器を買えば安全が保証されるというものは残念ながら無い」との認識を示した。
ビルシステムで安全性を最重要に置くことは、日本電気(NEC) サイバーセキュリティ戦略本部 主任の三澤史孝氏も強く感じたようだ。IT系だと、優先事項は「CIA」(C:Confidentiality/機密性、I:Integrity/完全性、A:Availability/可用性)の順だが、ビルでは「SAIC」(S:Safety/安全性)となる。
三澤氏は、ビル内でどんな機器が使われているかを誰も把握していない現状にも触れた。IT系であれば、設計書通りにシステムを導入するのが常識。だが、ビルではゼネコンやサブコンでも確認しきれていないことを知り、カルチャーショックを受けたという。「どこにどんな設備があるのか?ステークホルダー同士で共有することからまず着手するのが先決」と強調した。
Copyright © ITmedia, Inc. All Rights Reserved.